8 月 14 日消息,对 meta 旗下 Instagram 应用程序的一项新分析表明,每次用户点击应用程序内的链接时,Instagram 都能够监控他们的所有交互、文本选择,甚至是文本输入,例如内部网站内密码和私人信用卡详细信息应用程序。
Felix Krause 进行分析发现,iOS 版 Instagram 和 Facebook 都使用自己的应用内浏览器,而不是苹果为第三方应用提供的 Safari 浏览器。
使用他们定制的浏览器(仍然基于 WebKit),Instagram 和 Facebook 将名为“meta Pixel”的跟踪 Javascript 代码注入到所有显示链接和网站中。Krause 发现,使用该代码,meta 可以完全自由地跟踪用户交互,而无需征得用户的明确同意。
这使得 Instagram 可以在未经用户或网站提供商同意的情况下监控外部网站上发生的一切。
Instagram 应用程序将跟踪代码注入到显示的每个网站中,包括在点击广告时,使他们能够监控所有用户交互,例如点击每个按钮和链接、文本选择、屏幕截图以及任何表单输入,例如密码、地址和信用卡号码。
正如 Krause 所指出的,像 meta 这样的公司开发和维护自己的应用内浏览器而不使用苹果内置 Safari ,需要一定的开发付出。在其开发者门户上,meta 声称“meta Pixel”旨在通过监控用户在其定制浏览器中所做的所有事件来“跟踪网站上的访问者活动”。
不过还没有证据表明拥有 Instagram 的 meta 积极收集了哪些用户数据。正如 Krause 所写:
Facebook 不会真的窃取用户密码、地址和信用卡号码,我现在还没有证据,只是想展示他们在用户不知情情况下可以获得的数据类型。如过去所示,如果公司可以无需征求用户许可而免费访问数据,他们就会选择对其进行跟踪。
但是,这种做法违反了苹果 App Tracking Transparency (ATT) 政策。 ATT 要求所有应用程序在跨其他公司拥有的应用程序和网站跟踪它们之前征求用户同意。
meta 一再反对苹果允许用户选择是否希望被跟踪的目标。2020 年 12 月,meta 刊登了整版报纸广告,攻击苹果公司的变革。Krause 说他与 meta 分享了相关发现,meta 回应说他们已经确认该“问题”,但此后没有回应。Krause 说,在决定公开他的发现之前,已经提前两周通知了 meta 。